pfSense_2

Neste artigo irei mostrar de forma simples e direta como direcionar o tráfego de navegação http e https, bem como de qualquer outra porta, para links específicos de saída.

Solução

É comum algumas empresas usarem dois ou mais links de internet no mesmo pfSense e as vezes surge a necessidade de dividir o tráfego de saída por portas e em links separados, por exemplo, digamos que você tenha dois links de internet WAN1 e WAN2 e quer que a saída de pop3 e smtps (smtp seguro) seja pela WAN1 e o tráfego http, https e dns saiam pela WAN2, então basta crias as regras de firewall de saída e especificar o Gateway da interface WAN desejada. Veja neste exemplo que o pfSense possui dois Gateways, sendo um deles o default, mas isso não impede que determinado tráfego saia também pelo outro Gateway.

clip_image002

 

 

 

 

 

 

 

 

Para chegar nesta tela, clique no menu System > Routing. Então, basta criar a regra de firewall e definir o Gateway da regra, vejamos um exemplo, vou criar uma regra de saída ICMP e informar que a mesma deve sair pelo Gateway da interface WAN1 Clique no menu Firewall > Rules, em seguida na aba LAN.

clip_image004

Clique no botão “+” logo acima, ao lado de description para adicionar uma nova regra.

clip_image006 clip_image008 clip_image010

Veja que na regra eu defino a ação (Pass, Reject ou Block), selecionei o protocolo ICMP, tipo de ICMP defini como Any, assim qualquer tráfego deste tipo irá passar normalmente, a Origem parte da rede LAN, Destino Any, ou seja, qualquer rede, marque a opção Log se você deseja que o tráfego seja registrado, destaquei aqui a opção Source OS, mas apenas para uma breve explicação, é nesta opção que você pode definir qual tipo de sistema operacional estará autorizado a passar por esta regra, como Windows, Linux, FreeBSD, Solaris, Mac OS, entre outros, apenas um detalhe, esta opção não funciona neste tipo de regra onde informo que o protocolo usado será o ICMP, esta opção de definição de SO funciona apenas com protocolo do tipo TCP. E por último a opção que é o objetivo deste artigo o Gateway, repare que selecionei o WAN_DHCP que está associado a interface WAN1 do pfSense, o número IP do Gateway é exibido, depois disso basta clicar em Save e depois na parte de cima em Apply para aplicar as alterações. Pronto, desta forma você está obrigando a esta regra de firewall a sair pela interface determinada, as figuras abaixo mostram o tráfego saindo pela WAN1 e em seguida altero a regra para sair pela WAN2, repare que no primeiro salto o IP do Gateway muda.

Saindo pela WAN1

clip_image012

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Saindo pela WAN2

clip_image014

Conclusão

Neste artigo vimos de forma clara e simples, como direcionar o tráfego de saída LAN nas regras de firewall para sair por Gateways em interfaces diferentes que podem ser mais de uma WAN, ou interface DMZ, uma outra LAN desde que tenha um Gateway para onde os pacotes devem ser lançados. Você também pode separar o tráfego por grupo de máquinas, como por exemplo um número x de máquinas da rede saindo para http e https por uma regra direcionada a WAN1 e outro grupo também saindo para http e https só que direcionada a WAN2, dividindo assim a carga de saída entre os links, para isso você vai no menu Firewall > Aliases e cria os Aliases adicionando o número IP das máquinas, em seguida basta criar a regra e na origem digitar o nome do Alias. Para mais informações sobre a configuração de regras usando Aliases, veja o vídeo de pfSense com o tema Firewall e Roteamento, aqui mesmo no blog no menu Segurança.  

Até o próximo artigo !